码途未来(htmltoo.com):企业交换机-配置__博客

企业交换机-配置

2023/09 作者：ihunter 0 次 0

POE供电交换机就是支持网线供电的交换机,其不但可以实现普通交换机的数据传输功能还能同时对网络终端进行供电。IEEE 802.3af标准是基于以太网供电系统POE的新标准,它在IEEE 802.3的基础上增加了通过网线直接供电的相关标准,是现有以太网标准的扩展,也是第一个关于电源分配的国际标准。

PoE供电标准: IEEE 802.3af/at

1.交换设置

1.1 端口汇聚

是将交换机的多个物理端口汇聚在一起形成一个逻辑上的物理端口,同一汇聚组内的多条链路则可视为一条逻辑链路。

端口汇聚主要有两个作用:带宽叠加和链路备份。

需求介绍

某企业中有两个部门,每个部门有两个办公点,每个办公点的两个部门各有一个接入交换机,不同办公点之间通过核心交换机进行连接,现在需要核心交换机之间的链路进行汇聚。本文以 TLSG5428PE 为例介绍如何在(3/5/6/7/8)系列交换机设置端口动态汇聚(LACP)。

网络拓扑如下

设置方法

1.1.1 动态聚合设置方法

1.1.1.1 在办公点 1 交换机上进入“二层交换->汇聚管理->LACP 配置”中,选择需要进行汇聚的端口,输入管理 Key(即 LAG 组号 1-8),模式被动,状态下拉选择开启,点击提交。

1.1.1.2 同理,在办公点 2 交换机进入“二层交换->汇聚管理->LACP 配置”中,选择需要进行汇聚的端口, 输入管理 Key(需与办公点 1 交换机管理 Key 保持一致),模式主动,状态下拉选择开启,点击提交即可

1.1.1.3 设置完成后,将两台交换机设置的对应的汇聚端口使用网线连接起来,就可以实现端口汇聚。

注意:

1、设置完成后要点击界面左下角保存配置,防止交换机掉电配置丢失。

2、每个 LAG 组中的成员端口不能少于 2 个,且端口参数保持一致。

3、两台交换机先通过一条网线连接进行设置,设置完成后再把汇聚的网线接入,否则会导致交换机环路。

1.1.2. 静态聚合设置方法

在“二层交换->汇聚管理->手动配置”中,下拉选择 LAG 组号如 LAG1,选择需要进行汇聚的端口如 23-24 号端口,点击提交。

1.1.3.VLAN 设置时如何使用汇聚端口

多个端口进行汇聚后在逻辑上是一个端口,进行 VLAN 设置时与普通端口类似,只是需要注意手动选择 LAGS 列表。

1.1.3.1、设置端口类型为 TRUNK。在“VLAN->802.1Q VLAN->端口配置”中,在 VLAN 端口配置的 UNIT 列表中选中 LAGS,将端口 LAG1 的端口类型配置为 TRUNK,点击提交。

1.1.3.2、划分 VLAN:在“VLAN->802.1Q VLAN->VLAN 配置”中,分别创建 VLAN10、VLAN20 选择对应的端口,注意汇聚端口需设置为 Tagged,在 Tagged 端口的 UNIT 列表中选择 LAGS,再选择对应的汇聚端口,点击提交。如下图 LAG1 口为 Tagged,9-16 口为 Untagged。

1.1.3.3、VLAN20 的设置重复第 2 步即可。添加完成后,VLAN 列表如下:

1.1.3.3.1 属于同一个汇聚组中的成员端口必须有一致的配置,这些配置主要包括 STP、QoS、 VLAN、端口属性、MAC 地址学习等。如果需要配置汇聚组,建议在优先配置汇聚组后,再配置汇聚组的其它功能。如果两台设备之间做端口汇聚,两者必须都支持端口汇聚,否则可能会导致环路。

1.1.3.3.2 开启 802.1Q VLAN、语音 VLAN、生成树、QoS 配置、DHCP 侦听及端口配置(速率、流控)功能的端口,若属于汇聚组成员,则他们的配置需保持一致。

1.1.3.3.3 开启端口安全、端口监控、MAC 地址过滤、静态 MAC 地址绑定、半双工及 802.1X 认证功能的端口,不能加入汇聚组。

1.1.3.3.4 开启 ARP 防护、DoS 防护功能的端口,建议不要将其加入汇聚组。

1.1.3.3.5 链路聚合分为静态聚合和动态聚合,实际应用中使用其中一种即可,我司产品推荐使用静态聚合的方式。

1.2 端口监控

端口监控是一种数据包获取技术,可以实现将一个或几个端口(被监控端口)的数据包复制到一个特定的端口(监控端口),通过对收集到的数据包进行分析,可以达到网络监控或排除网络故障的目的。

在“二层交换->端口管理->端口监控”中

选择监控端口 3 的,并点击提交;在被监控端口中选择需要被监控的端口 5.6 口,入口出口均选择启用

1.3 端口隔离

端口隔离功能可以限制一个端口到另外一组端口的数据转发。这种限制数据转发的方式和通过 VLAN 进行限制的方式很相似,但是限制性更强。通过设置端口隔离可以在物理上隔绝开两个端口通讯,一般适用于一些对广播流量比较敏感的场所,通过设置端口隔离来隔绝广播域。

在“二层交换->端口管理->端口隔离”中,点击编辑,选择对应端口的转发端口,本次举例设置 2-28 端口的转发端口为 1 端口;因为 1 口是上联口,1 端口的转发端口为所有端口,如下如所示。

3.1 设置 2-28 端口只转发到 1 端口

3.2 设置 1 端口可以转发 1-28 端口

至此已完成设置,2-28 口上的 AP 只能和 1 口接的 AC 设备通讯,AP 相互之间不能通

1.4 端口安全

针对端口 1 做静态地址绑定,绑定允许上网的设备。

1.5 交换机地址表管理

2.堆叠配置

堆叠(Stack)是指将多台设备通过专用的堆叠口连接起来,堆叠系统由多台成员设备组成, 主交换机(Master)设备负责堆叠系统的运行、管理和维护,其他成员设备在处理业务的同时可作为主交换机的备份。一旦主交换机设备故障,系统会迅速自动选举新的主交换机,以保证业务不中断,从而实现了设备的 1:N 备份。进行必要的配置后,所有设备虚拟化成一台“ 分布式设备”。使用堆叠技术可以实现多台设备的协同工作和统一管理,对外表现就像一台设备一样。

2.1 需求介绍

某大型网络为了保障网络运行的稳定性,并且增加转发带宽使用三台 TL-SH8434 交换机进行堆叠组网,设备堆叠后要求达到以下网络需求:

1、强大的网络扩展能力,堆叠增加交换机的背板带宽,增加端口数量;

2、堆叠后设备统一成一台设备,统一配置;

3、增加设备的冗余备份能力,保障网络的稳定性。

2.2 设置

1) 堆叠前准备

准备三台出厂状态下的 TL-SH8434 交换机,三根 1 米万兆 SFP+电缆 TL-TC532-1 用于连接交换机的堆叠口。

2)堆叠口的配置 TL-SH8434 有 6 个端口可以配置成堆叠端口,其中 4 个万兆 SFP+和 2 个 QSFP+端口

1、分别登录 3 台设备的 web 界面,在“堆叠功能—堆叠管理—堆叠配置”界面设置堆叠口,将选中的堆叠口状态设置成启用,本次选择将交换机的 29.30 口设置成堆叠口。

2、在进行物理连线之前分别配置三台交换机:

(1) 设置堆叠名称:在“堆叠功能—堆叠管理—堆叠配置”页面设置堆叠名称(可选操作);

(2) 设置堆叠口:在“堆叠功能—堆叠管理—堆叠配置”页面中将堆叠口状态设置为启用 (必选操作);

(3) 配置堆叠编号:在“堆叠功能—堆叠管理—堆叠成员配置”页面中分别设置三台交换机的堆叠编号为 4、5、6。(可选操作)

3、将三台交换机分别设置后保存配置后断电,然后按照链式或者环式的连接方式进行物理接线。

4、物理连接后,给设备上电,堆叠开始形成,堆叠后只有作为主交换机的“Master”指示灯会亮。

堆叠系统形成后,用户可以通过任意成员设备的端口登陆堆叠系统。堆叠后的配置分为全局配置和端口配置,涉及到端口相关的配置会在相应的界面显示不同 Unit,通过选择不同 Unit 来配置不同交换机的端口。

堆叠信息展示:

 堆叠的设备型号和软件版本要求一样;堆叠后全局配置会沿用 Master 设备的配置。

 如果设备不是在出厂状态下配置,堆叠形成后哪个设备是 Master,就会沿用这个设备的所有配置。

 堆叠配置是无法通过复位交换机消除的,需要手动关闭堆叠口和其它堆叠功能。

 设备对应端口启用了堆叠功能后无法再用作业务口配置。

3.VLAN

3.1 802.1Q VLAN配置

802.1Q VLAN 可以实现局域网内二层网络的隔离以及跨交换机的 VLAN 互访,在中大型网络中为了隔离广播域,设置 802.1Q VLAN 是一个非常有效且方便的办法,这样既能保证用户带宽,也能降低设备因为处理局域网广播所带来的性能损耗。

3.1.1 需求

同一个公司的同一个部门有多个不同的办公地点(比如在不同的楼层),各办公点有各自的交换机,级联形成同一个局域网,要求不同部门划分 VLAN。

3.1.2 设置

以交换机一为例,端口 1 接路由器,端口 2 接交换机二端口 1。

1、确定端口类型:将端口 1-2,5-12 设置为 GENERAL。在“VLAN->802.1Q VLAN->端口配置”中,勾选对应端口进行设置,注意 5-8 需将 PVID 设置为 10,9-12 需将 PVID 设置为 20。

设置完后的端口配置列表:

2、 VLAN 的划分:在“VLAN->802.1Q VLAN->VLAN 配置”中,分别创建 VLAN10、 VLAN20 将产品部划分为 VLAN 10,选择对应的端口,注意需将级联口包含进去,如下图端口 2 为 Tagged,端口 1 和端口 5-8 为 Untagged。VLAN20 重复上述步骤即可。

添加完成后,VLAN 列表如下:

交换机二设置是一样的,只是级联口此时只有一个端口 1,与交换机一的端口 2 配置相同。

3.2 MAC VLAN 配置

MAC VLAN 根据每个主机的 MAC 地址来划分 VLAN,即对每个主机的 MAC 地址均划分到 VLAN 中。MAC VL AN 的优点在于,将 MAC 地址与 VLAN 绑定后,该 MAC 地址对应的设备可以随意切换端口,只要连接到相应 VL AN 的成员端口即可,而不必改变 VLAN 成员的配置。 MAC VLAN 能够实现灵活的接入控制,同一终端通过不同端口接入设备时,设备会给终端分配相同的 VLAN;而不同终端通过同一端口接入设备时,设备可以给不同终端分配不同的 VLAN。

3.2.1 需求

某公司有两个部门,为了通信安全设置了 VLAN 隔离。由于人员流动较大,公司在会议室提供了临时的办公场所,即员工可以通过临时办公场所接入公司网络,但要求接入后只能划分到自己部门所在的 VLAN

1) 在“VLAN 管理”—“802.1QVLAN”—“端口配置”,将需求端口均设置为“GENERAL”,点击提交,这里我们示例设置 1-8 口,并修改 1-4 的 PVID 为 10,5-8 的 PVID 为 20

2) 在“VLAN 管理”—“802.1QVLAN”—“VLAN 配置”,设置部门所在的 VLAN,将 1-8 口均设置在 vlan10 和 vlan20 里面,出口规则皆为 untag

3) 在“路由设置”—“接口”配置里面给不同的 VLAN 绑定 IP

4) 在“路由设置”—“DHCP 服务器”里面开启 DHCP 功能,启用即可,并添加地址池,注意网关和 DNS 也添加

5) 在“VLAN”—“MAC VLAN”里面,设置 MAC VLAN

6) 设置端口使能,我们这里设置了 1-8 口,所以开启 1-8 口的端口使能

以上,MAC VLAN 配置完成!该终端接入任意的 1-8 口都属于 VLAN10。

注意:

输入该 MAC VLAN 对应的 VLAN ID 时,此 VLAN 必须是输入端口所在的 802.1Q VLAN。

3.3 语音 VLAN 典型配置

3.3.1 需求介绍

某公司需要实现语音电话和网络混合组网的需求,且语音电话需要专门在一个 VLAN 中传输。

需求1:

(1) 配置 VLAN 2 为语音 VLAN,只允许语音报文通过。

(2) IP Phone 类型为 Untagged,接入端口是 General 类型端口 1。

(3) 电脑和 IP 电话串联接入交换机,端口 1 工作在自动模式,如果它们在 30 分钟内没有收到语音流,就将相应的语音 VLAN 老化。

(4) 端口 1 允许 OUI 地址是 0011-2233-0000、掩码是 ffff-ffff-0000 的语音报文通过, 描述字符为 test。

需求2:

(1) 配置 VLAN 2 为语音 VLAN,只允许语音报文通过。

(2) IP Phone 类型为 Untagged,接入端口是 General 类型端口 1。

(3) 端口 1 只接入了语音电话,工作在手动模式。

(4) 端口 1 允许 OUI 地址是 0011-2233-0000、掩码是 ffff-ffff-0000 的语音报文通过, 描述字符为 test。

3.3.2 设置

需求 1—使用自动模式

第一步、配置接语音电话的口为 general 口,并创建 VLAN 2

1、“VLAN”-“802.1Q VLAN”-“端口配置”,设置接语音电话的口为 general 口,PVID 保持之前的业务设置不改变(不影响端口 1 的其他业务数据):

2、新建 VLAN 2 为语音 VLAN,可以不包含端口(自动模式下交换机根据端口是否收到语音数据自动维护端口加入或退出语音 VLAN):

第二步、配置全局语音 VLAN 功能。

在“服务质量”-“语音 VLAN” ,全局配置中启用全局语音 VLAN 功能,配置语音 VLAN 为 VLAN 2,老化时间为 30min:

语音优先级分为 0~7 共 8 档,默认优先级为 6,且数字越大,优先级越高。

第三步、配置端口 1 的语音 VLAN 功能。

配置端口 1 的语音 VLAN 功能,设置端口 1 为自动模式,安全模式禁用。

安全模式代表设置端口转发数据包的模式,其中禁用代表端口转发所有数据包,启用代表端口只转发语音数据包。

第四步、配置语音 VLAN 能识别的 OUI 地址。

系统已经预设了一些常见厂商的 OUI 地址,如果没有自己厂商的则可以通过掩码与运算将设备的地址添加进去。

至此,自动模式下的语音 VLAN 配置成功,1 口下符合 OUI 配置的语音设备接入后交换机自动将语音电话数据在 VLAN 2 中传输。

需求 2—使用手动模式

第一步、配置接语音电话的口为 general 口,并创建 VLAN 2

1、“VLAN”-“802.1Q VLAN”-“端口配置”,设置接语音电话的口为 general 口,PVID 设置为 2:

2、新建 VLAN 2 为语音 VLAN,包含端口 1,出口规则为 untag:

第二步、配置全局语音 VLAN 功能。

在“服务质量”-“语音 VLAN” ,全局配置中启用全局语音 VLAN 功能,配置语音 VLAN 为 VLAN 2,老化时间为可以保持默认

第三步、配置端口 1 语音 VLAN 功能。

配置端口 1 的语音 VLAN 功能,设置端口 1 为手动模式,安全模式根据自己需求选择

安全模式代表设置端口转发数据包的模式,其中禁用代表端口转发所有数据包,启用代表端口只转发语音数据包

第四步、配置语音 VLAN 的 OUI 地址

系统已经预设了一些常见厂商的 OUI 地址,如果没有自己厂商的则可以通过掩码与运算将设备地址添加进去

至此,手动模式下的语音 VLAN 配置成功,手动将 1 口加入在语音 VLAN 2 中

注意:

 IP 电话的工作原理:与其他网络设备一样,IP 电话也需要 IP 地址才能在网络中正常通信。IP 电话获取 IP 地址的方式有两种:通过 DHCP 自动获取和通过用户手工配置,可以参考 IP 电话的使用说明书。

 一般情况下:IP 电话在自动获取 IP 地址时,IP 电话还可以向 DHCP 服务器同时请求 Voice VLAN 信息,如果 DHCP 服务器返回了 Voice VLAN 信息,IP 电话就可以直接89 3/5/6/7/8 系列企业级交换机发送携带有 Voice VLAN Tag 的语音流(简称 tagged 语音流);如果 DHCP 服务器没有返回 Voice VLAN 信息,IP 电话就只能发送不带 VLAN Tag 的语音流(简称 untagged 语音流)。同样,在用户在 IP 电话上手工设置 IP 地址时,也可以设置或不设置 Voice VLAN 信息,IP 电话会根据用户的配置发出 tagged/untagged 语音流。

 语音 VLAN 中的端口可工作在语音 VLAN 的自动模式或手动模式,在不同的工作模式下端口加入语音 VLAN 的方式不同。

 自动模式:当用户 IP 电话启动时,所发出的报文经支持语音 VLAN 的设备时,设备通过识别该报文的源 MAC 地址,匹配设备上所配置的 OUI 地址,OUI 地址匹配成功后, 设备自动将该语音报文的输入端口添加到语音 VLAN,并下发策略,将语音报文的优先级修改为设备上所配置的语音 VLAN 中语音流的优先级,并使用老化机制对语音 VLAN 内的端口进行维护。在老化时间内,系统没有从输入端口收到任何语音报文时, 系统将把该端口从语音 VLAN 中删除。

 手动模式:手动模式下,端口加入语音 VLAN 或从语音 VLAN 中删除的过程由管理员手动进行配置。用户 IP 电话通讯过程中,设备通过识别报文的源 MAC 地址,匹配设备上所配置的 OUI 地址,OUI 地址匹配成功后,下发策略,将语音报文的优先级修改为设备上所配置的语音 VLAN 中语音流的优先级。

 自动模式适用于 PC--IP 电话串联接入端口,可以同时传输语音数据和普通业务数据的组网方式。

 手工模式适用于 IP 电话单独接入交换机,端口仅传输语音报文的组网方式,这种组网的方式可以使该端口专用于传输语音数据,避免业务数据对语音数据传输的影响。

4.生成树

生成树 STP( Spanning Tree Protocal)主要用于在局域网中消除链路层物理环路,并在链路故障时自动激活备份链路恢复网络。运行该协议的设备通过彼此交互信息发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构。

(1) 通过阻断冗余链路消除网络中存在的路径回环;

(2) 当前路径发生故障时,激活冗余备份链路,恢复网络连通性。

生成树协议分为三种,普通生成树 STP(Spanning Tree Protocal)、快速生成树 RSTP (Rapid Spanning Tree Protocal)以及多生成树 MSTP(Multiple Spanning Tree Protocal),可以根据需要选用,满足多种使用环境需求。

STP 和 RSTP 功能的设置方法是相同的。

RSTP 相比于 STP 来说收敛速度更快,且兼容 STP 协议,所以一般推荐使用 RSTP 协议。

4.1 需求介绍

1、客户公司内部网络,5 台 TP-LINK 管理型交换机搭建 STP 或者 RSTP 环形网络,实现链路故障备份的功能。5 台交换机环形连接,所有交换机之间的连接用端口为 1、2 号端口。

2、客户公司内部网络,如下图所示拓扑结构,整个网络中设置了 6 个 VLAN 101-106, 需要实现 VLAN101、103 和 105 的数据流量以 B 为根桥,VLAN102、104 和 106 的数据流量以 C 为根桥。采用 MSTP 阻断网络中的环路,并能达到数据转发过程中 VLAN 数据的冗余备份以及负载分担效果。

4.2 STP/RSTP 设置方法

1) 修改交换机的 IP 地址不冲突

打开“路由功能”—“接口”页面,点击“编辑”修改。

2) 交换机开启 STP 或者 RSTP 全局配置开关

打开菜单“生成树”—“基本配置”页面,生成树功能选择“启用”,生成树模式选择“STP 或者 RSTP”,点击“提交”。

3) 交换机级联端口启用生成树功能:打开菜单“生成树”—“端口配置”页面,选择交换机级联的端口(本例中是端口 1 和 2),状态选择“启用”,点击“提交”。

一台交换机设置完成,相同的方法,依次设置其他的交换机。完成 STP/RSTP 功能的设置之后,进行线路连接即可

4.3 MSTP 设置方法

本例中假定 IP、VLAN 等相关的设置已经完成,仅关注生成树的设置。

1、所有交换机开启 MSTP 全局配置开关:打开菜单“生成树”—“基本配置”页面,生成树功能选择“启用”,生成树模式选择“MSTP”,点击“提交”。

2、所有交换机级联端口启用生成树功能:打开菜单“生成树”—“端口配置”页面,选择交换机之间级联的端口编号。状态选择“启用”,点击“提交”。

3、所有交换机配置相同的 MST 域的域名(任意域名)和修订级别(默认即可):

打开菜单 “生成树”—“MSTP 实例”—“域配置”页面,所有交换机设置相同的域名(本例中为“TEST”)和修订级别(本例中为默认的“0”),点击“提交”。

4、所有交换机配置 MST 域的 VLAN-实例映射,

将 VLAN 101、103、105 映射到实例 1;

将 VLAN 102、104、106 映射到实例 2:

打开菜单“生成树”—“MSTP 实例”—“实例配置”页面,实例 ID 设置“1”,VLAN ID 设置“101,103,105”,将 VLAN 101、103、105 映射到实例 1。相同设置方法将 VLAN 102、104、106 映射到实例 2。

所有交换机相同的设置。

6、将交换机 B 配置为实例 1 的根桥,且是实例 2 的指定桥:

打开交换机 B 的配置页面,打开菜单“生成树”—“MSTP 实例”—“实例配置”页面,选择实例“1”,并将优先级设置为“0”,点击“提交”。

7、然后选择实例“2”,并将优先级设置为“4096”,点击“提交”。

8、将交换机 C 配置为实例 2 的根桥,且是实例 1 的指定桥:\打开交换机 C 的配置页面,打开菜单“生成树”—“MSTP 实例”—“实例配置”页面,选择实例“1”,并将优先级设置为“4096”, 点击“提交”。然后选择实例“2”,并将优先级设置为“0”,点击“提交”。

9、MSTP 的所有设置完成,实现的效果:实例 1(VLAN101、103、105),连通的链路如左边红色所示,实例 2(VLAN102、104、106),连通的链路如右边蓝色所示。

至此,生成树功能的基本设置方法就介绍完了

注意: 设置时每台交换机单独连接设置,每次设置一台交换机。设置完成后再进行线路连接。部和分部路由器都处于联网状态,且至少有一端出口是公网 IP 地址

5.组播管理

在很多网络环境中需要用到组播来传递数据,由于交换机默认转发本VLAN 中的组播报文, 所以不加以限制的话,会造成交换机被占用过多资源、端口几乎全部用来转发组播数据,带宽浪费严重。为了合理的转发组播数据,节省资源,提高终端的上网体验,可以通过设置 IGMP 侦听并选择丢弃未知组播报文来解决。设置之后该端口只有加入到这个组播组中,才会收到组播数据,不加入的话该组播组的组播报文被该端口认定为未知组播报文,并进行丢弃,这样这个端口是不会收到组播数据的。这样设置能有效节约带宽和交换机的性能,同时也方便对组播成员进行管理,合理的设置组播业务。

5.1 需求介绍

某企业通过三层交换机划分了 3 个业务 VLAN,分别是 VLAN 10.20.30,这三个业务部门都需要收到来自公司组播服务器的组播业务数据,但是为了节约交换机资源需要设置 IGMP 侦听来控制哪些需要端口需要转发这份数据

5.2 设置

第一步、划分业务 VLAN 10.20.30,组播数据使用的 VLAN 40。划分 VLAN 时需要将需要组播业务的端口设置为 general 口,便于之后的 VLAN 设置,同时保证该端口既可以运行普通业务也可以转发组播数据。在“VLAN-802.1Q VLAN-VLAN 配置” 界面,划分对应端口到对应业务 VLAN 下,本拓扑下出口规则为 untag:

其余的接口,DHCP,以及静态路由配置可以参考:【配置实例】三层交换机企业应用配置实例。

第二步、新建组播服务器和需要用到组播数据端口所在的 VLAN 。

新建一个 VLAN40 用于在该 VLAN 传输组播数据,保证组播数据只会在该 VLAN 中转发, 不会影响的其他的 VLAN 和端口,节约交换机的资源,提高带宽利用率。

在“VLAN-802.1Q VLAN-VLAN 配置” 界面,将需要用到组播业务的端口添加到该 VLAN 中,端口带不带 tag 视具体网络环境而定,成员端口的类型不会影响到正常的组播转发,

本次设置选择 untagged 接口,新建组播 VLAN 40 包含 1-13 端口,且皆为 untag,13 端口接组播服务器,PVID 设置为 40

第三步、设置端口的 PVID 对于组播 VLAN 所在的端口,组播源端口(本例是 13 号端口)即发送组播数据的端口,其 PVID 要设置成组播 VLAN 的 ID(本例是 VLAN40),保证组播数据进来的时候是在组播VLAN 中的; 而其他成员端口 1-12 端口,即需要接收组播数据的端口,PVID 仍为之前所在 VLAN 的 ID,也就是说这些端口原有的配置和业务不会受到影响。在“VLAN-802.1Q VLAN-端口配置界面”,配置 1-13 口为 general 口,并设置对应端口的的 PVID 为对应的 VLAN ID

第四步、开启 IGMP 侦听

在组播管理中,启用全局 IGMP 侦听,在 IGMP 全局配置中,选择丢弃未知组播报文,其余选项默认。

注:IGMP 侦听和 MLD 侦听需要同时启用。

第五步、设置 IGMP 侦听的端口和组播 VLAN

在“组播管理-IGMP 侦听-端口配置”中,需要用到组播功能的端口 1-12 口启用 IGMP 侦听, 同时启用快速离开功能(在有多个组播组的环境下使用),之后点击提交。

然后在“组播管理-IGMP 侦听-组播 VLAN”一栏中,启用组播 VLAN40,路由器端口时间和成员端口时间根据需要填写,一般选择推荐值。静态路由器端口也就是发送组播数据的端口, 选中端口 13,之后点提交。

第六步、组播 VLAN 测试

设置好组播 VLAN 和 IGMP 侦听后,服务器通过交换机的 13 端口开始发送组播数据,接收端电脑连接交换机的 1-12 端口,由于未知组播报文丢弃,此时是收不到组播报文的。当接收端电脑发送加入该组播组的声明之后,该 13 口的组播源发送的组播组数据不再被认为是未知组播报文,故可以被接收端电脑收到。

第七步、组播静态地址表的设置

对于某些特定的场所来说,接收端即组播成员端口下终端不支持标准的组播协议,是不会发出加入这个组播的通告的。由于设置了未知组播报文丢弃,所以该成员端口是不会收到未通告过的组播报文的。此时,为了保证该成员端口也能接收到组播数据,可以设置静态组播地址表。

在“组播管理-组播地址表-IPv4 静态组播地址表”中,填写需要加入的组播 IP 和组播 VLAN, 转发端口选择无法发送通告报文的端口 8,之后点击添加。

这时在组播地址表中便会生成一条静态的地址表,默认将组播地址为 224.1.1.1 的组播报文转发到 8 端口。

此时,不需要接收端发送组播通告报文,一样可以接收到组播数据。

以上即可完成组播 VLAN 和 IGMP 侦听的设置满足用户的使用需求

6. 路由功能

6.1 DHCP 中继配置

在大型的网络中,可能会存在多个子网。DHCP 客户端通过网络广播消息获得 DHCP 服务器的响应后得到 IP 地址。但广播消息是不能跨越子网的。因此,如果 DHCP 客户端和服务器在不同的子网内,客户端还能不能向服务器申请 IP 地址呢?这就需要用到 DHCP 中继功能。DHCP 中继功能,承担不同子网间 DHCP 客户端和服务器的通信任务。

某企业使用三层交换机划分多个子网,同时装有一台专用的 DHCP 服务器。三层交换机上不配置 DHCP 服务器,各个子网都由专用的 DHCP 服务器分配 IP 地址。

登录到三层交换机的管理界面,点击“路由功能-DHCP 中继-全局配置”,启用交换机的 DHCP 中继功能

Option 82 配置需要根据实际需求确认是否开启。Option 82 一般在 802.1X 认证等应用中会使用到。

点击“路由功能>DHCP 中继>DHCP 服务器”,添加 DHCP 服务器地址

这样,就可以实现三层交换机的不同子网都通过专用的 DHCP 服务器分配 IP 地址。

6.2 三层网管交换机策略路由配置

交换机的策略路由(PBR:Policy-Based Routing)提供了一种比基于目的地址进行路由转发更加灵活的数据包路由转发机制。策略路由可以根据 IP/IPv6 报文源地址、目的地址、端口、报文长度等内容灵活地进行路由选择,优先级比普通的路由高,这样就可以按照管理员的意志针对部分感兴趣的流量重新定义报文的转发路径,满足一些特殊场景下的需求。

6.2.1 需求介绍

某公网络出口分为外网和专网,需要通过交换机的策略路由实现不同部门访问不同网络。

(1) 研发部、财务部、销售部分别划分成不同网段;

(2) 研发部门、财务部和销售部门之间不能互访;

(3) 研发和财务部门不能访问外网,但可以访问公司内网;销售部门既可以访问外网,也可以访问公司内网。

6.2.2 需求分析:

(1) 交换机对接两台路由可以通过设置交换机路由口对接不同的出口路由;

(2) 不同部门不能够互访可以通过设置 ACL 规则来实现;

(3) 针对这种不同网段访问不同资源需要从不同出口路由转发的情况,可以使用核心三层交换机的策略路由功能,通过 ACL 条目匹配交换机中的数据流,针对数据流指定路由下一跳的 IP 地址,从而实现不同数据流从不同出口转发。

6.2.3 设置

第一步、研发部、财务部、销售部分别划分为不同网段

交换机按照常规给三个部门规划好 VLAN,接口地址,DHCP 地址池

第二步、研发部门、财务部和销售部门之间不能互访

通过 ACL 实现双向禁止访问,配置 ACL 并绑定对应接口

第三步、设置策略路由控制不同部门的外网权限

1、配置路由接口配置交换机的路由口地址,对接不同出口路由器,在交换机 Web 界面:“路由功能”—“接口” —“接口 ID”--“路由口”,配置 23 端口对接内网路由的接口 IP 和 24 端口对接外网路由器的接口 IP

2、配置标准 IP ACL 配置标准 IP ACL 列表,指定数据流量,在交换机 Web 界面:“访问控制”—“ACL 配置”—“新建 ACL”--“标准 IP ACL”,创建标准 IP ACL 条目(此条目的目的是指定策略路由的源目的 IP): 本次举例研发部访问公司内网的数据流创建方法。

最终创建的几条数据流条目

3、创建路由器映射表

指定策略路由的条目名称,后续用此条目绑定对应的 VLAN 接口,使能接口,在交换机 Web 界面:“路由功能”—“路由映射表”—“创建路由映射表”,此处创建三条路由映射表分别为:研发到内网,财务到内网和销售到内网和外网三条条目

4、配置路由映射表,针对数据流配置交换机的转发操作,在交换机 Web 界面:“路由功能”—“路由映射表”—“创建路由映射表,配置路由映射表”,创建路由映射表名称 --路由映射表匹配数据流 --针对匹配的数据流执行的转发操作: 本次列举销售部访问内网和外网数据流匹配操作。

内网:

 交换机“设置下一跳”代表这条条目的优先级比系统直连路由高,即:VLAN 间互访数据也会匹配策略路由条目而不是匹配直连路由条目。

 交换机“设置缺省下一跳”代表这条条目的优先级比系统直连路由低,即:VLAN 间互访数据会匹优先匹配直连路由。

外网:

 交换机“设置下一跳”代表这条条目的优先级比系统直连路由高,即:VLAN 间互访数据也会匹配策略路由条目而不是匹配直连路由条目。

 交换机“设置缺省下一跳”代表这条条目的优先级比系统直连路由低,即:VLAN 间互访数据会匹优先匹配直连路由。  在做数据流匹配的时候,一个路由映射表名称可以匹配多个数据流,通过序列号区分,且序列号越小优先级越高。

最终创建的几条路由映射表规则条目

5、配置策略路由将配置好的路由映射表规则绑定到对应的 VLAN 接口,在交换机 Web 界面:“路由功能”— “策略路由”—“策略路由配置”

 一个接口只能绑定一条路由映射表名称,但可以通过一个路由映射表中的序列号区分不同的数据流和动作。

6、配置内网和外网路由器配置内网路由的 NAPT 条目和静态路由条目,保证数据正常转发。内网路由器 NAPT 规则

内网路由器回程路由规则

配置外网路由的 NAPT 条目和静态路由条目,保证数据正常转发。

外网路由器 NAPT 规则

外网路由器回程路由规则

配置大致流程

至此,以上需求便可以通过配置交换机的策略路由功能全部实现。

7. 服务质量

7.1 带宽控制

交换机的带宽控制功能可以控制每个端口的出入口速率,在使用有限带宽的情况下,保证每个终端都能正常使用应用,不会因为某个端口流量过大导致其他终端无法上网的情况。

在“服务质量->流量管理->带宽控制”中,设置所有下联终端端口的出入口速率为 5Mbps, 上联口 24 口不限制,注意单位为 Kbps

同一个端口的入口带宽限制和风暴抑制不能同时开启;且端口限制数值必须为 64 的整数倍,输入其他数值后设备会自动匹配最近的一个值。

这样就可以限制除上联端口外的其他端口的进出口速率约为 5Mbps,保障了整个网络中终端都可以正常使用网络

7.2 风暴抑制

交换机的风暴抑制功能允许交换机在网络中过滤广播、多播和 UL 包。如果三种数据包的传输速率超过了设置的带宽,则会自动丢弃数据包以避免网络广播风暴,保障网络的运行稳定性,这种应用一般在无线网络的场景较多。

在“服务质量->流量管理->风暴抑制”中,设置所有终端端口的广播接受速率为 200Kbps(一般情况下无线场景接 AP 的千兆端口建议值)

 同一个端口的入口带宽限制和风暴抑制不能同时开启;且端口限制数值必须为 64 的整数倍,输入其他数值后设备会自动匹配最近的一个值。

 PPS 模式:交换机统计数据包不按照字节统计,而是按照每秒多少个广播包数量统计;默认情况下 PPS 模式是禁用的状态,启用后,单位只能为 PPS,不能为 kbps 或 ratio。

 交换机界面还有一个统计单位为 ratio,单位含义为比率,使用此单位时取值范围只能在 0-100 范围内,含义为广播包占比端口总数据包的比例。

这样就可以限制端口的最高广播接受速率,保障了整个网络运行稳定性。

8.访问控制

在交换机中主要通过 ACL 来控制访问权限,由于交换机默认规则是转发所有数据,ACL 控制是逐条匹配的,通过访问控制可以根据需求限制什么可以访问,什么不可以访问,交换机支持 MAC ACL ,标准 IP ACL ,扩展 IP ACL,控制非常灵活多变。

8.1 需求

产品部:禁止访问研发部网络。

研发部:只允许访问服务器,禁止访问其余网络。

员工无线网络:禁止访问产品部、研发部、服务器网络。

访客网络:禁止访问产品部、研发部、员工无线网络、服务器网络。

8.2 设置

以研发部为例,具体设置如下: 首先需要新建一个 ACL ID,标准 IP ACL 的 ID 号范围是 500-1499,本例使用 520。在“访问控制->ACL 配置->新建 ACL”中,输入 520,点击创建即可

再根据需求创建 ACL 规则。在“访问控制->ACL 配置->标准 IP ACL”中,下拉选择创建的 ACL 520,输入规则 ID 21,安全操作选择允许,源 IP 为研发部 IP,目的 IP 为服务器 IP。

其余网络重复上述三个步骤即可,注意每个网络都需要创建一个 ACL ID 号以进行 VLAN 的绑定。

以上通过设置交换机的访问控制功能实现了企业各部门的访问控制需求,

如需要更具体的需求可以通过设置 MAC ACL 或者扩展 IP ACL 进行控制。

其中 MAC ACL 根据数据包的源 MAC 地址、目的 MAC 地址、二层协议类型等二层信息制定匹配规则,对数据包进行相应的分析处理。

扩展 IP ACL 可以根据报文的源 IP 地址信息、目的 IP 地址信息、IP 承载的协议类型、协议的特性等信息来制定匹配规则,对数据包进行相应的分析处理。

1、新建 ACL ID,ID 范围 1500-2499。

2、新建一条扩展 IP 条目:在时间 1 时间段丢弃源 IP 为 192.168.100.0/24,源端口为 600, IP 优先级 DSCP 字段字段为 1 的 TCP 数据包。

2条目创建成功后,将对应 ID=1500 的条目绑定到端口或者 VLAN 接口上即可生效,此处同标准 IP ACL 设置。

9.网络安全

9.1 DHCP 侦听配置

DHCP 主要作用是集中分配和管理 IP 地址,通常我们是通过路由器或三层网管交换机充当 DHCP 服务器的角色,但如果网络中有其他能够分配 DHCP 的非法服务器,也会给客户端分配不正确的 IP,导致终端无法上网,网络结构紊乱。而开启“DHCP 侦听”功能,添加授信端口,可以让终端和服务器只能从授信端口接收发送 DHCP Offer 报文,从而能正确的进行网络通信。

在“网络安全->DHCP 侦听->全局配置”中,启用 DHCP 侦听功能,并选择生效的 VLAN, 本例只有 VLAN 1 因此选择 VLAN 1,如果有其他 VLAN 需要开启侦听功能,也需要输入对应的 VLAN ID

在“网络安全->DHCP 侦听->端口配置”中设置连接合法路由器的端口为信任端口,本例设置连接路由器的上联口 1 口为信任端口,其余为非信任端口,其余设置本例选择默认。

这样交换机上所接入的终端就只能从 1 口上联的设备获取地址,不会从其余端口的非法 DHCP 服务器获取地址,保障了网络的安全性。

9.2 机四元绑定、ARP 防护、IP 源防护

四元绑定功能可以将局域网中计算机的 IP 地址、MAC 地址、VLAN 和端口进行绑定,ARP 防护功能以及 IP 源防护功能将使用四元绑定条目对数据包进行过滤,在使用了四元绑定条目后可以启用 ARP 防护,IP 源防护来进行网络保护,使只能是绑定条目中的设备才能通过交换机。

在“网络安全->四元绑定->扫描绑定”中,通过 ARP 扫描扫描当前所有正常接入交换机的终端设备,三个 VLAN 需要扫描三次,每次扫描出的结果选择防护范围为全部防护,并点击提交提交到绑定列表

最终通过扫描出来的四元绑定列表

此时光有绑定列表还不能实现需求,需要在“网络安全->ARP 防护->防 ARP 欺骗”中启用源 MAC 验证,目的 MAC 验证,IP 验证,并使能对应的 VLAN

 源 MAC 验证:当此功能开启后,ARP 防护功能会检查 ARP 报文的源 MAC 是否等于发送 MAC,如果不等则将报文丢弃,本处的发送 MAC 是四元绑定条目中对应端口的所对应的 MAC。

 目的 MAC 验证:当此功能开启后,ARP 防护功能会检查 ARP 回复报文的目的 MAC 是否等于目标 MAC,如果不等则将报文丢,本处目标 MAC 是指这个端口所对应四元绑定条目中的 MAC。

 IP 验证:当此功能开启后,ARP 防护功能会检查报文的 IP 合法性,如果 IP 字段不合法则将报文丢弃。

 交换机会根据四元绑定条目来匹配对应端口的 ARP 报文中的源 MAC 或者目的 MAC 是否是端口已经绑定的 MAC,如果不是则选择丢弃。

如果用户对网络中的 ARP 报文的数量也需要控制,可以在“网络安全->ARP 防护->防 ARP 攻击”中设置端口的 ARP 报文的速率,单位 PPS,当端口收到的 ARP 报文速率高于设定值后,该端口将会断开,需要手动在界面恢复,因此设置值需要根据实际网络中有用 ARP 的数量来定。

 交换机上联口可以启用信任,这个口将放行所有的 ARP 报文,不会对数量有限制。

 防 ARP 攻击功能需要启用对应 VLAN 才能生效,因此也需要根据四元绑定条目来匹配,如果和对应端口的四元绑定条目不匹配,交换机将会丢弃报文。

同时在“网络安全->ARP 防护->IP 源防护”中启用需要设置的端口 IP 源防护功能,防护类型选择 SIP+MAC 的方式,上联端口 24 口一般不要启用,因为外网回复的数据包源 IP 可能没在四元绑定条目内导致无法上网

 SIP+MAC 机制是只处理源 IP 地址、源 MAC 地址和端口均符合四元绑定信息的数据包。

以上即可完成只有对应终端接入到对应端口且使用对应 IP 才能上网,保证了企业网络的安全性。

10. 802.1X

802.1X 协议作为局域网端口的接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。 802.1X 协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证, 则无法访问局域网中的资源。

10.1 需求介绍

某公司为了保证数据接入的安全性,使用交换机做 802.1X 认证,只有通过登陆网络管理员分配的员工账号才有权接入网络使用网络资源

10.2 设置

第一步、搭建 Radius 认证服务器

本文以试用版的 WinRadius 做为认证服务端。(也可以在 Windows Server 上搭建 Radius 认证服务器。有关服务器的搭建方法请在网上参考相关资料)。

1、启用 Winradius,用管理员身份运行,并在“设置—数据库—自动配置 ODBC”,配置数据库,数据库配置成功后再重启软件。

2、软件重启成功后,配置服务器参数

认证服务器上的配置:

● 服务器 IP 地址:192.168.111.250 (服务器 IP 需要保证与交换机 VLAN1 的接口 IP 是可以相互通讯的,本例按照和 VLAN 1 同网段 IP 举例)

● 认证端口:1812

● 计费端口:1813

● 密钥:fae

● 服务器上设置用户账号密码: 员工 1/123456

第二步、配置 TL-SG5428 的 802.1X 功能

1、802.1X 配置。在交换机的“网络安全—802.1X 认证—全局配置”界面,启用 802.1X 全局配置功能,认证模式选择 EAP,其余参数本次配置选择默认。

2、在交换机的“网络安全—802.1X 认证—端口配置”界面,配置对应端口的 802.1X 功能。

 不启用 TL-SG5428 级联端口(28 端口)的 802.1X 认证,使认证服务器在任何时候都能通过该端口接入网络以便认证客户端。

 配置其它需要认证的端口。(TL-SG5428 可同时支持基于 MAC 和 Port 的认证,这里均采用基于 MAC 的认证方式)。

 如果端口的“状态”处于禁用,则该端口下的设备不需要进行认证,始终处于接入网络的状态。

 控制类型中,“基于 MAC”意为着该端口下的所有设备必需单独进行认证,认证通过后才能接入网络;“基于 Port”意味着该端口下只要有一台设备认证通过,其它设备不再需要认证也能接入网络。

2、AAA 配置。在交换机的“网络安全—AAA—全局配置”界面,配置交换机的 AAA 认证功能,全局配置 AAA 功能启用,以便对接 Radius 服务器。

3、802.1X 认证客户端配置。本次以 WIN 10 电脑为例,在电脑上安装 TP-LINK 802.1X_V2.1 版客户端应用程序,配置参数默认,电脑接入交换机的端口客户端软件输入用户名账号和密码:员工 1/123456,选择对应连接交换机的网卡,电脑通过认证即可使用网络资源。

 802.1X 客户端软件下载链接:

https://service.tp-link.com.cn/detail_download_1266.html

至此 802.1X 认证接入实现完成,局域网中所有电脑需要通过认证后才能访问局域网,从而实现了网络的安全接入。

11. 工业级特性

11.1 ERPS 单环环网配置

工业环境的交换机需要保证运行的稳定性,即便出现一台设备故障可以通过其它设备替代运转,而且要求切换快速无延迟。工业级的 ERPS 环网即可满足这种使用场景,比一般的生成树协议切换更快速,能做到业务的无中断切换。ERPS 环网正常工作时,RPL 端口阻塞所在链路,防止网络环路;当环网中某条链路出现异常断开时,异常节点会发包通知 RPL Owner 节点,于是 RPL 端口放开,使所在链路恢复正常通信,保障整个网络通信不中断。一个环网中,有且仅有一个 RPL Owner 节点。

某工业环境使用交换机组环网,保障任何一台交换机故障都不会影响业务的转发,

使用ERPS 组环网拓扑如下

11.1.2 通过拨码开关快速配置(以 TL-SG2210R 工业级为例)

TL-SG2210R 工业级交换机机身有 DIP 拨码开关,涉及到 ERPS 环网配置的有以下三个开关: WEB:默认关闭,开启后,交换机开启 WEB 管理功能,只有开启 WEB 管理开关,才能使用 ERPS 环网功能。

ERPS:默认关闭,开启后,交换机开启 ERPS 的主环功能,并使能 RPL 开关。

RPL:默认关闭,开启后,配置端口 1 为 RPL 端口。

操作:

(1) 交换机 A 将 WEB 开关、ERPS 开关和 RPL 开关都拨到 ON;

(2) 交换机 B、C 将 WEB 开关和 ERPS 开关拨到 ON。

(3) 将三台交换机的端口 1、2 按照拓扑连接起来。

需要注意的是,使用拨码开关来配置环网时,只能使用端口 1、2 来组建环网,且只能配置端口 1 为 RPL Owner 端口。如果需要使用其他的端口来组建环网,比如使用光口来组建光纤环网,那么就必须采用 WEB 页面配置的方法。

11.1.2 WEB 页面配置

使用 WEB 页面配置时,可以任意指定所用端口

角色分类:交换机 A 为 RPL Owner 节点,交换机 B、C 为普通节点。

交换机 A 配置

(1)启用交换机的 802.1Q VLAN 功能

依次点击→<802.1Q VLAN>,将“802.1Q VLAN 使能”选择为开启

(2)配置环网保护实例

依次点击→,勾选一个实例,然后点击<设置>

点击<设置>后,填写需要保护的 VLAN,要同时包含数据 VLAN 和协议 VLAN,此处数据 VLAN 为 1,预设协议 VLAN 为 2

这里,就完成了保护实例的配置,需要注意的是,设置的 VLAN ID 范围,需要包含所有数据 VLAN 和协议 VLAN,比如数据通信用到了 VLAN 1-5,TP 环的协议 VLAN 设置为 10, 那么这里 VLAN ID 范围可以设置为 1-10。协议 VLAN 在 ERPS 环配置中会用到。

(3)配置 ERPS 环

依次点击→然后点击<创建>,

配置“环号”、“协议 VLAN”、“保护实例”,

左右端口配置:

点击上图中红框标出的<端口>,进入左右端口配置,将端口 7 设置为 RPL Owner,将端口 8 设置为 Normal

到这里,就完成了对交换机 A 的配置。

交换机 B.C 配置

交换机 B、C 与交换机 A 的唯一区别就是,B 和 C 不需要设置 RPL Owner。

也就是说,除了最后的左右端口配置,A、B、C 的其他所有配置都相同。

那么同样的,交换机 B、C 也需要做如下配置:

A. 启用交换机的 802.1Q VLAN 功能

同交换机 A

B. 配置环网保护实例

同交换机 A

C. 配置 ERPS 环

环配置: 同交换机A

左右端口配置: 左右端口的角色均选择为 Normal 即可

到这里就完成了对交换机 B、C 的配置。

配置完成后,将三台交换机按照设定的端口两两连接起来,就组建好了一个环网。

这种单环网络在实际应用中最为常见,配置起来也比较简单,对于具有 N 个节点的单环网络,只需配置 1 个 RPL Owner 节点和 N-1 个普通节点即可。

11.2 TP-RING 单环环网配置

TL-SG5412 工业级新增了 TP-RING 功能,受到客户的广泛关注。TP-RING 是 TP-LINK 研发的环网协议,支持单环、多环组网,支持快速环网(故障自愈时间<20ms),在实现链路冗余备份的同时,有效避免网络环路、广播风暴等现象,保护工作数据,提高网络可靠性。正常工作时,RPL 端口阻塞所在链路,防止网络环路;当环网中某条链路出现异常断开时, 异常节点会发包通知 RPL Owner 节点,于是 RPL 端口放开,使所在链路恢复正常通信,保障整个网络通信不中断。一个环网中,有且仅有一个 RPL Owner 节点

某工业环境使用交换机组环网,保障任何一台交换机故障都不会影响业务的转发,

使用ERPS 组环网拓扑如下